登場したばかりの『IE 7』に、またも脆弱性見つかる

この記事のURLhttp://japan.internet.com/webtech/20061028/12.html

先ごろ Microsoft (NASDAQ:MSFT) が正式版をリリースしたばかりの Web ブラウザ『Internet Explorer 7』(IE 7) に、また新たな脆弱性が見つかった。セキュリティの専門家は、このバグを利用して「なりすまし」攻撃が可能だと警告しているが、Microsoft は大きな問題と見なしていない。

セキュリティ対策会社 Secunia が25日に公開した情報によると、このバグを悪用することで IE 7 のユーザーを騙し、合法的なサイトに見せかけた Web サイトに誘導できるという。具体的には、攻撃者のサイトの URL に特殊文字と正規のアドレスを付け足し、実際には攻撃者のサイトにアクセスしているにもかかわらず、アドレスバーの見た目上は正規サイトにアクセスしているかのようなポップアップを表示できる。これは「なりすまし」と呼ばれる手口だ。アドレスバーを一瞥しただけで納得してしまうと、フィッシング詐欺の犠牲者になりかねない。

Microsoft は、Secunia が情報を開示した翌日に、セキュリティ対策組織 Microsoft Security Response Center (MSRC) の公式 Blog でこの問題に触れた。同社は問題を調査すると述べたが、それほど深刻には捉えていない。同 Blog において、MSRC のセキュリティ プログラム マネージャ Christopher Budd 氏は、次のように書いている。「この問題を利用した攻撃の発生については、聞き及んでいない。しかし通常通り、われわれは調査を通じて、状況観測を続ける」

同 Blog によると、IE 7 のアドレスバーに現われる正規サイトになりすました URL は、実際にアクセスしているサイトを示す URL の先頭部分が見えず、攻撃者が意図的に付加した正規サイトの URL が見えるという。しかし URL をスクロールすれば、アドレス全体を確認できる。Budd 氏はユーザーに対し、IE 7 のフィッシングフィルタ機能を有効にするよう勧め、次のように述べた。「この問題の悪用を企てるフィッシングサイトがあっても、『Microsoft Phishing Filter』が防御の役に立つ」

なお IE 7 の脆弱性といえば、正式版リリース直後の19日にも1件明らかになっていた。こちらの脆弱性について Microsoft は、IE 7 の問題ではなく、『Outlook Express』の問題としている。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。